- N +

维护大师5.0新增"安全中心"去广告规则使用详解

原标题:维护大师5.0新增"安全中心"去广告规则使用详解

导读:

1.进程操作1.1.1.进程启动拦截 黑名单模式说明:根据文件路径或文件MD5来对即将启动的进程进行检测,如果路径正则表达匹配或者MD5相同则禁止启动.脚本示例:ProcSta...

维护大师5.0安全中心

1.进程操作

1.1.1.进程启动拦截 黑名单模式

说明:根据文件路径或文件MD5来对即将启动的进程进行检测,如果路径正则表达匹配或者MD5相同则禁止启动.

脚本示例:

ProcStart[Parent(null)][Self(MD5="89087ae3187d4c69de54bf0")]=Deny
ProcStart[Parent(null)][Self(Path=".*\\ter.exe")]=Deny 
ProcStart[Parent(MD5="276718b03feb0c2")][Self(Path=".*c:\\test\\ter.exe")]=Deny
ProcStart[Parent(Path=".*explorer.exe")][Self(Path=".*123.exe")]=Deny
ProcStart[Parent(Path=".*explorer.exe")][Self(MD5="276718b03feb0c2")]=Deny

语法说明:

名称描述其他
ProcStart前缀固定关键词,该语句的头部声明,大小写敏感.
Parent固定关键词, 大小写敏感.用于描述当前启动的进程的父进程信息.如果不关心该进程的父进程,则内部数据填”null”.如果关心该进程的父进程信息,则可选择填入父进程的路径(Path=正则表达)或者父进程的MD5数据(MD5=).路径信息或者MD5的声明信息为Path,MD5,大小写敏感.
Self固定关键词, 大小写敏感.用于描述当前即将启动的进程信息,可填入路径(正则表达式)或当前进程文件的MD5.
Deny后缀固定关键词,大小写敏感.

1.1.2.进程启动拦截 白名单模式

脚本示例:

ProcAccess[Parent(Path=".*explorer.exe")][Self(Path=".*2.exe;.*33.exe;")]=Access
ProcAccess[Parent(Path=".*taskhost.exe")][Self(Path=".*44.exe;")]=Access

说明:放行父进程创建的指定的子进程列表,除此之外的全部拦截.

语法说明:


名称描述其他
ProcAccess前缀关键词, 该语句的头部声明,大小写敏感
Parent父进程路径相关信息Path,表示父进程的路径(正则表达式). MD5表示父进程MD5值
Self子进程列表信息Path表示子进程的列表集合,进程与进程之间使用分号分割,每个子进程可使用正则表达式表示.
Access后缀固定关键词

1.2.进程循环查杀

说明:根据文件路径的正则表达式或者文件的MD5,每隔5s对当前活跃进程进行遍历,如果发现匹配,则执行查杀操作.

脚本示例:

KillProc[Self(Path=".*test.exe")]=Loop
KillProc[Self(MD5="c613e69c3b191bb02c7a191741a1d024")]=Loop

语法说明:


名称描述其他
KillProc前缀固定关键词,该语句的头部声明,大小写敏感
Self固定关键词,要查杀的目标进程的相关信息,如果要对特定路径(正则表达式)的程序执行查杀操作,则使用”Path”进行声明,并填入正则表达数据;如果对特定MD5的进程执行查杀操作,则使用”MD5”进行声明.
Loop固定后缀关键词

1.3.进程销毁后的操作

说明:对关心的某些进程进行监控,当这些进程退出后进行相应的操作.

脚本示例:

ProcDied[Self(Path=".*ecp.exe")][Action(Restart)][Message(null)]=Access
ProcDied[Self(MD5="c6134xx024")][Action(RunAgain)][Message("c:\1.exe")]=Access
ProcDied[Self(Path=".*ecx.exe")][Action(Warning)][Message("this is test")]=Access

语法说明:

名称描述其他
ProcDied前缀固定关键词,该语句的头部声明,大小写敏感
Self固定关键词,表示关心的进程信息,可以使用路径(正则表达式)或者MD5.
Action操作关键词,表示要执行的动作. Restart:重启计算机,此时不关心Message中的数据. RunAgain:运行Message中填入的路径的程序. Warning:弹出提示,提示内容为Message中提示信息.
Message数据关键词,为null或者一个程序的绝对路径或者提示的字符串信息.
Access后缀关键词,大小写敏感.

1.4.进程主动启动

说明:通过安全中心来在开机的时候启动一些用户关心的进程.

脚本示例:

RunProcess[Self(Path="c:\to.exe")][Probability(95)][TimeQuantum(10:00-23:40)]=Access

语法说明:

名称描述其他
RunProcess前缀固定关键词,该语句的头部声明,大小写敏感.
Self固定关键词,要启动的进程信息, Path表示该文件的绝对路径. Probability表示该程序的启动概率,概率范围为1-100. TimeQuantum表示启动该程序的时间段.24小时制.范围为:00:00-23:59.
Access后缀关键词,大小写敏感.

1.5. 进程保护

说明:用于保护指定的进程不被恶意访问或结束.

脚本示例:

Protect[Process(MD5="dfb39214a538e71862577661703d7755")]=Deny
Protect[Process(Path=".*pad.exe")]=Deny

语法说明:

名称描述其他
Protect前缀关键词, 该语句的头部声明,大小写敏感
Process表示用于保护的进程信息,可以是进程的路径Path(正则表达式)或者进程文件的MD5信息.
Deny后缀固定关键词

2. 模块操作

2.1 dll/sys模块拦截

说明:对于进程即将加载的模块按照文件路径的正则表达式或者hash特征进行拦截;拦截驱动加载。

脚本示例:

Module[Host(MD5="dfb39214a538e7703d7755")][Self(Path=".*ule.dll")]=Deny
Module[Host(Path=".*load.exe")][Self(Path=".*dule.dll")]=Deny
Module[Host(null)][Self(hash="699358f7f86bcf9422cb75569d9246a6")]=Deny

语法说明:

名称描述其他
Module前缀关键词, 该语句的头部声明,大小写敏感
Host固定关键词,用于描述模块相关的宿主信息.如果不关心宿主,则内容为”null”.如果关心宿主,则可以使用宿主的路径Path(正则表达式)或者宿主文件的MD5信息.
Self目标模块路径Path(正则表达式)或者特征信息Hash(数据可从维护大师客户端进行采集).
Deny后缀固定关键词

3. 文件操作

3.1 文件创建/打开/读/写/删除/重命名拦截

FileCheck[Self(Path=".*11.txt")][Process(Path=".*pad.exe")][AccessMode(Read)]=Deny
FileCheck[Self(Path=".*2222.txt")][Process(Path=".*pad.exe")][AccessMode(Write)]=Deny
FileCheck[Self(Path=".*333.txt")][Process(Path=".*test.exe")][AccessMode(Create)]=Deny
FileCheck[Self(Path=".*test\\.*t")][Process(null)][AccessMode(Create)]=Deny
FileCheck[Self(Path=".*333.txt")][Process(null)][AccessMode(Delete)]=Deny
FileCheck[Self(Path=".*666.exe")][Process(null)][AccessMode(Rename)]=Deny

说明:对特定的进程(或者不关心哪个进程)对文件的操作进行拦截,操作的内容包括文件的打开(创建)/读/写/删除/重命名.

语法说明:

名称描述其他
FileCheck前缀关键词, 该语句的头部声明,大小写敏感.
Self固定关键词,用于描述目标文件路径信息Path(正则表达式).目录的操作与文件相同.
Process需要关注的进程信息,如果不关注则设置为”null”.如果关注,则使用进程的路径信息Path(正则表达式),或MD5
AccessMode需要拦截的访问模式,包括打开/创建(Create),读(Read),写(Write),删除(Delete),重命名(Rename).
Deny固定后缀关键词,大小写敏感

3.2 文件隐藏操作

//隐藏test目录

FileHide[Self(Path=".*\\test")]=Access

//隐藏路径中包含”ttt”的文件夹或者文件

FileHide[Self(Path=".*ttt.*")]=Access

说明:用于隐藏指定的文件或文件夹,两者的语法相同.

语法说明:

名称描述其他
FileHide前缀关键词, 该语句的头部声明,大小写敏感.
Self表示要隐藏的文件/文件夹的路径信息Path(正则表达式).
Access后缀固定关键词,大小写敏感

4. 注册表操作

说明:拦截指定进程(或者不关心进程)对特定注册表的访问,访问的类型包括读/写/删除项/删除键值/重命名

脚本示例:

RegCheck[RegPath(".*version\\run.*")][Process(Path=".*reg.exe")][AccessMode(Read)]=Deny
RegCheck[RegPath(".*001\\run.*")][Process(MD5="531xxx0ed")][AccessMode(Write)]=Deny
RegCheck[RegPath(".*test\\run.*")][Process(null)][AccessMode(All)]=Deny
RegCheck[RegPath(".*currentversion\\run.*")][Process(null)][AccessMode(Rename)]=Deny
RegCheck[RegPath(".*currentversion\\run.*")][Process(null)][AccessMode(Deletekey)]=Deny
RegCheck[RegPath(".*version\\run.*")][Process(null)][AccessMode(Deletevalue)]=Deny

语法说明:


名称描述其他
RegCheck前缀关键词, 该语句的头部声明,大小写敏感.
RegPath注册表路径信息,信息内容为路径正则表达式.
Process操作注册表的进程信息.如果不关心,则内容为”null”.或者是进程的路径Path(正则表达式).或者是进程文件的MD5值.
AccessMode访问模式, 读(Read)/写(Write)/删除项(Deletekey)/删除键值(Deletevalue)/重命名(Rename). 创建项(Create),如果需要全部权限的话则直接使用All.

5. 回调检测

说明:该脚本用来移除驱动注册的4类回调,分别是进程回调,镜像回调,线程回调以及注册表回调.

脚本示例:

CallBack[Type(Process)][Feature(Name="test.sys")][Action(Remove)]=Access
CallBack[Type(Image)][Feature(Name="test.sys")][Action(Remove)]=Access
CallBack[Type(Thread)][Feature(Name="test.sys")][Action(Remove)]=Access
CallBack[Type(Reg)][Feature(Name="test.sys")][Action(Remove)]=Access

语法说明:

名称描述其他
CallBack前缀关键词, 该语句的头部声明,大小写敏感.
Type需要进行移除的回调类型, 进程回调(Process),镜像回调(Image),线程回调(Thread)以及注册表回调(Reg).
Name驱动文件名
Action执行的动作关键词,内容为Remove.
Access后缀固定关键词

6. 文件解锁重命名

脚本示例:

UnLockFile[Self(Path="\??\c:\lock.dll")][ReName(Name="\??\c:\22lock.dll")]=Access

含义:解锁C盘的lock.dll,并重命名为22lock.dll

说明:用于解除被驱动层锁定的文件.

语法说明:

名称描述其他
UnLockFile前缀关键词, 该语句的头部声明,大小写敏感
Self用于描述需要进行操作的目标文件,文件信息为文件全路径Path.注意路径之前需要保留DOS路径前缀” \??\”.
ReName解锁后重命名的后名字Name,也是文件全路径名称.
Access后缀固定关键词

7. 基本网络操作拦截

脚本示例:

NetWork[Protocol(All)][Process(null)][Address(".*:.*->115.239.211.*:443")]=Deny
NetWork[Protocol(TCP)][Process(MD5="c61xxx024")][Address(".*:.*->126.211.152.32:8800")]=Deny
NetWork[Protocol(TCP)][Process(Path=".*360se.exe")][Address(".*:.*->122.228.233.208:.*")]=Deny
NetWork[Protocol(UDP)][Process(null)][Address(".*:.*->.*:53")]=Deny
NetWork[Protocol(ICMP)][Process(null)][Address(".*:.*->115.236.139.174:.*")]=Deny

根据协议类型(或者不关心协议类型)对特定的进程(或者不关心进程)访问特定的网络地址进行拦截操作.

语法说明:

名称描述其他
NetWork前缀关键词, 该语句的头部声明,大小写敏感.
Protocol协议类型,包括TCP,UDP,ICMP,如果不关心可以直接使用All表示全部.
Process关心的进程信息,可以使用路径信息(路径正则表达式),或者MD5信息.如果不关心这个进程的话就直接使用null.
Address网络的本地与对端地址”本地地址:端口号->远端地址:端口号”.地址与端口可使用正则表达.
Deny后缀固定关键词

8. http网络操作

脚本示例:

TCPPkgFilter[Direction(out)][Process(Path=".*rome.exe")][Feature(text=".*m\?rdid=.*")]=Deny
TCPPkgFilter[Direction(out)][Process(MD5="923fe895b22b22a9ca03c72f3d15ce20")][Feature(text=".*m\?rdid=.*")]=Deny

说明:用于拦截http接受或发出的包含特征的明文http包

语法说明:

名称描述其他
TCPPkgFilter前缀关键词, 该语句的头部声明,大小写敏感.
Direction数据发送方向,in:接收.out:发出.
Processhttp通信的进程信息,可以使路径信息Path(正则表达式),也可以是MD5信息.
Featurehttp包特征,正则表达式形式的特征数据.
Deny后缀固定关键词

9. 窗口规则

脚本示例:

WindowCheck[Proc(".*explorer.exe")][Title(null)][Class(".*StatusTips")][Style(8c000000;0)][Rect(800x600)][Action(Hide)]=Deny
WindowCheck[Proc(".*.exe")][Title(".*皇家娱乐")][Class(null)][Style(null)][Rect(1920x1080)][Action(close)]=Deny

说明:用于对指定的窗体进行关闭或隐藏等操作

语法说明:

名称描述其他
WindowCheck前缀关键词, 该语句的头部声明,大小写敏感.
Proc进程的名称,如果忽略,可设置为".*.exe"
Title窗口标题,如果忽略,可设置为null
Class窗口类名,如果忽略,可设置为null
Style窗口样式,如果忽略,可设置为null. 值必须为16进制
Rect窗口矩形,不能为空.
Action对符合条件的窗口执行的操作,hide隐藏窗口,close关闭窗口,kill结束窗口所属的进程,mini最小化窗口,move将窗口移动到不可见的位置.
Deny后缀固定关键词

维护大师5.0更新的安全中心,非常棒,又是一个去广告程序的诞生.

有好的文章希望我们帮助分享和推广,猛戳这里我要投稿

返回列表
上一篇:
下一篇:

发表评论中国互联网举报中心

快捷回复:

    评论列表 (暂无评论,共人参与)参与讨论

    还没有评论,来说两句吧...